Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Schreib- und Leseberechtigung auf Netzwerkfreigaben

Mitglied: opalka

opalka (Level 1) - Jetzt verbinden

18.08.2011, aktualisiert 02:00 Uhr, 5800 Aufrufe, 10 Kommentare

Hallo,

irgendwie stehe ich momentan auf nem Schlau. Es geht um eine Windows-Domäne mit SBS 2011 und Windows 7/Vista-Rechnern. Um die Rechtevergabe einfacher handhaben zu können, habe ich Sicherheitsgruppen nach folgenden Muster erstellt:

- FREIGABENAME_Admin
- FREIGABENAME_Lesen
- FREIGABENAME_Schreiben

Meine Ordner bekommen nun alle 3 Sicherheitsgruppen zugewiesen und die Berechtigungen werden entsprechend gesetzt: Admin -> Vollzugriff, Schreiben -> ändern, Lesen -> lesen. Das gleiche mache ich mit den Freigaben.

Je nachdem was der Benutzer machen darf, wird er Mitglied in der Gruppe. Soweit funktioniert auch alles nach Wunsch. Nun habe ich aber ein Problem mit "verschachtelten" Sicherheitsgruppen. Nehmen wir als Beispiel einmal die Freigabe "Sonderbereiche": Sonderbereiche_Admin, Sonderbereiche_Lesen und Sonderbereiche_Schreiben wurden erstellt und Ordner- und Freigabeberechtigung entsprechend gesetzt. "Sonderbereiche" wird nun z.B. auf S: gemappt. Der Ordner/Freigabe "Sonderbereiche" enthält nun einen Ordner/Freigabe "Buchhaltung". Sicherheitsgruppen werden erstellt und Berechtigungen gesetzt, Rechte werden NICHT vererbt.

Nun zu meinen Problem: Benutzer X wird Mitglied der Gruppen "Sonderbereiche_Lesen" und "Buchhaltung_Lesen"/"Buchhaltung_Schreiben", denn der Benutzer soll auf der obersten Ebene "Sonderbereiche" nichts speichern und auch keine Ordner erstellen können. Leider kann der Benutzer trotz Schreibrechte nichts im Ordner "Buchhaltung" speichern. Erst wenn er auch Mitglied in der Gruppe "Sonderbereiche_Schreiben" geworden ist, kann er etwas speichern -> natürlich auch auf der obersten Ebene. Dies soll aber nicht passieren.

Mich stellt sich nun meine Frage, wie kann ich es verhindern?! Ich geh mal davon aus, dass mein Konzept Hand und Fuß hat und eigentlich so funktionieren sollte, nur irgendetwas habe ich verpeilt.

Gruß
Mitglied: Clijsters
18.08.2011 um 02:17 Uhr
Hallo opalka,

hast du vielleicht mit den Freigabeberechtigungen gespielt?
Ist der untergeordnete Ordner auch eine Freigabe?
Versuch doch mal Folgendes: Fraigabeberechtigungen Jeder:Vollzugriff und die NTFS ACLs wie beschrieben anpassen. Ggf. Testweise die Vererbungen reinnehmen.


Gruß
Dominique
Bitte warten ..
Mitglied: opalka
18.08.2011 um 02:31 Uhr
Hallo,

danke für Deine Antwort. In den Ordnerberechtigung ist lediglich nur noch "System" vorhanden, andere wie z.B. Authentifizierte Benutzer, Jeder etc. wurden entfernt.

Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Eingetragene Gruppen auf Ordner "Buchhaltung": Buchhaltung_Admin, Buchhaltung_Lesen, Buchhaltung_Schreiben + SYSTEM. Es werden keine weiteren Gruppen geerbt. Analog dazu die Gruppen in der Freigabe aber ohne SYSTEM. Die Sonderbereiche-Gruppen haben keinen Zugriff auf "Buchhaltung".

Warum sollte ich "Jeder" einen Vollzugriff geben, wenn es schon reicht die Sonderbereich_Schreiben-Gruppe hinzuzufügen?! Jeder hat an dieser Stelle garnichts zu suchen. Auch die Standart-ACLs haben dort meiner Meinung nach nichts zu suchen. Lediglich "System" um ein Backup durchzuführen.

Vielleicht irre ich mich ja, lasse mich gern eines besseren belehren, aber wie bereits gesagt, es reicht vollkommen die Gruppe "Sonderbereiche_Schreiben" dem Benutzer hinzuzufügen und schon kann er auch in Buchhaltung schreiben, wenn er denn über die Freigabe "Sonderbereiche" geht. Geht er direkt über die Freigabe "Buchhaltung" klappt es ja auch. Mir gehts es einfach nur darum, wie verhindere ich, dass der Benutzer auf der obersten Ebene etwas ändern/erstellen kann?!

Gruß
Bitte warten ..
Mitglied: C.R.S.
18.08.2011 um 06:34 Uhr
Hallo

Zitat von opalka:
Hallo,
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Erreichbar vielleicht, aber nach dem Text oben nicht als eigene Freigabe. In sämtlichen Ordnern, die über die Freigabe Sonderbereiche aufgerufen werden, stehen Benutzer unter ihrer diesbezüglichen Freigabeberechtigung entsprechend der Gruppenzugehörigkeit Sonderbereiche_*. Im Fall des Benutzers X ist das die Freigabeberechtigung Lesen. Da Freigabe- und Dateisystemberechtigungen auf die niedrigsten Rechte kumuliert werden, bleibt es dabei.
Bei der Freigabe musst Du dem Benutzer die höchsten innerhalb der Freigabe erforderlichen Rechte geben. Darunter wird dann über die Dateisystemrechte differenziert.

Grüße
Richard
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 07:01 Uhr
Moin,

kann ich nur noch mal bestätigen was die Vorredner schrieben:

Du musst die Freigabeberechtigung bearbeiten.

VG
Bitte warten ..
Mitglied: opalka
18.08.2011 um 08:44 Uhr
Hallo,

sorry, aber irgendwie raff ich es nicht. Wie bereits geschrieben gebe ich ja dem Benutzer die "Sonderbereiche_Schreiben"-Mitgliedschaft und dann funktioniert ja auch alles so wie es soll, bis auf das kleine Problem, dass der Benutzer auch auf der obersten Ebene schreiben kann und genau dies will ich nicht.

Ich formuliere das ganze vielleicht noch einmal um: Wie verhindere ich, dass ein Benutzer mit Schreibrechten auf einer Freigabe schreiben kann? Er soll ja ersten auf der zweiten Ebene schreiben dürfen, also in den Unterordnern wie z.B. Buchhaltung, Verwaltung etc.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 09:39 Uhr
HI,

du musst doch unterscheiden zwischen:

Freigabeberechtigung die stellst du im Reiter Freigabe unter Berechtigungen ein und
NTFS Sicherheit die stellst du unter Sicherheit ein.

Nun sag uns doch mal wie die Freigabeberechtigungen aussehen von der obersten Freigabe.

VG
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 09:39 Uhr
Setze Freigabe: jeder auf ändern. Und die Ordner über die NTFS-Rechte absichern. Das macht den Unterschied.
Bitte warten ..
Mitglied: opalka
18.08.2011 um 09:59 Uhr
Danke @C.R.S, das war der entscheidene Tipp

Habe nun das Problem gelöst. Ich habe nun 2 Arten von Sicherheitsgruppen erstellt, und zwar einmal für die Ordner-Ebene und einmal für die Freigabeebene:

- ordner_sonderbereiche_admin
- ordner_sonderbereiche_lesen
- ordner_sonderbereiche_schreiben

- freigabe_sonderbereiche_admin
- freigabe_sonderbereiche_lesen
- freigabe_sonderbereiche_schreiben

Benutzer X wird nun Mitglied in "freigabe_sonderbereiche_schreiben", jedoch nicht in "ordner_sonderbereiche_schreiben". Somit hat er zwar das Recht auf die Freigabe zu schreiben, dies wird dann aber auf Ordnerebene abgeblockt.

Ist zwar doppelte Arbeit, aber wenn es erst einmal umgesetzt ist, dann ist es sehr nützlich.

Gruß
Bitte warten ..
Mitglied: opalka
18.08.2011 um 10:01 Uhr
@DerWoWusste

oder man macht es so, dann brauche ich auch nicht die doppelten Sicherheitsgruppen.

Das Jeder hatte mir nur zu schaffen gemacht, aber ist ja blödsinn, da die Ordnerrechte ja alles abblocken, was nicht sein soll.

Hab mal wieder viel zu kompliziert gedacht.

Danke für Eure Hilfe.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 10:16 Uhr
Gerne ....

FülltextFülltext
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange-Tool: Nur Leseberechtigung auf ein eingebundenes Outlook-Postfach

gelöst Frage von HeuristikerExchange Server7 Kommentare

Guten Morgen zusammen, ich hätte gerne gewusst, ob die Möglichkeit besteht, einer AD-Gruppe innerhalb der Exchange-Verwaltungskonsole nur (!) Leseberechtigungen ...

Windows 7

Netzwerkfreigabe wieder verwerfen

Frage von MikuboWindows 72 Kommentare

Ich habe mal eine Frage, bzgl. dem entfernen einer Netzwerkfreigabe. Wir haben ein ADC und die diversen Rechner sind ...

Netzwerkgrundlagen

Kein Zugriff auf kennwortgeschützte Netzwerkfreigabe

Frage von BananenbiegerNetzwerkgrundlagen9 Kommentare

Hallo, ich habe ein recht komplexes problem: Ich kann mit meinem Hauptrechner nicht auf eine kennwortgeschützte Freigabe meines NAS-Systems ...

Linux Netzwerk

Windows Netzwerkfreigaben unter Ubuntu 14.04

Frage von hildefeuerLinux Netzwerk2 Kommentare

Ich bin Gelegenheit Linux user! Hauptsächlich in fremden WLAN Netzen und bei Hombanking. (Nur) Mit Ubuntu 14.04 kann man ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 15 StundenE-Mail3 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 17 StundenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 20 StundenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware3 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
Kann DNS-Einträge nicht finden
gelöst Frage von BPeterWindows Server19 Kommentare

Hallo, wenn ich folgenden Befehl absetze, bekomme ich eine Liste zurück mit allen Einträgen der DNS-Zone. Wenn ich aber ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...